基于STPA與模糊BN的新能源汽車安全性分析方法研究

摘" 要： 隨著新能源汽車自動化程度不斷提高，各系統之間耦合造成的故障急劇增加，傳統的安全分析方法已無法滿足當前汽車復雜系統的危險性分析要求。針對新能源汽車突然失控事故存在的高危性、復雜多樣的問題，提出一種基于STPA與模糊BN的新能源汽車安全性分析方法。首先，運用系統理論過程分析方法（STPA）分析新能源汽車突然失控事故，得出系統級事故及危險，構建控制反饋回路，并識別不安全控制行為；接著，根據STPA分析結果構建模糊BN，通過GeNIe軟件訓練數據，可視化模糊BN，得到基本事件的發生概率，并由試驗仿真得出蓄電池及儲能系統、電機電控和整車控制器的后驗概率分別為0.70、0.17和0.16。結果表明，所提方法能有效識別系統潛在危險，發現系統薄弱環節，可為提高系統可靠性提供依據。

關鍵詞： 新能源汽車； 安全性分析； 系統理論過程分析方法； 模糊BN； 系統級事故； 不安全控制行為

中圖分類號： TN911.23?34" " " " " " " " " " " " 文獻標識碼： A" " " " " " " " " " " "文章編號： 1004?373X（2024）08?0018?07

Research on new energy vehicle safety analysis method based on STPA and

fuzzy Bayesian network

ZHANG Shun， ZHOU Juan

（College of Quality and Safety Engineering， China Jiliang University， Hangzhou 310018， China）

Abstract： With the increasing degree of automation of new energy vehicles， the faults caused by the coupling between various systems have increased dramatically， and the traditional safety analysis methods can no longer satisfy the current risk analysis of automobile complex systems. In allusion to the high?risk and high?complexity problems of new energy vehicles' sudden loss of control accidents， a safety analysis method for new energy vehicles based on STPA and fuzzy Bayesian network is proposed. The system theoretical process analysis （STPA） method is used to analyze the sudden loss of control accidents of new energy vehicles to derive the system?level accidents and dangers， construct the control feedback loop， and identify the unsafe control behaviors. A fuzzy Bayesian network is constructed according to the STPA analysis results， and the data are trained by means of GeNIe software to visualize the fuzzy Bayesian network and obtain the occurrence probability of the basic events. According to the experimental simulation the posteriori probabilities of the battery and energy storage system， the motor electronic control and the whole vehicle controller are 0.70， 0.17 and 0.16， respectively. The results show that the method can effectively identify the potential dangers of the system and get the weak links of the system， which can provide the basis for the improvement of the system reliability.

Keywords： new energy vehicles; safety analysis; system?theoretic process analysis method; fuzzy Bayesian network; system?level accidents; unsafe control behavior

0" 引" 言

目前，在碳中和、碳達峰的國內外形勢下，新能源汽車的普及和利用可極大緩解能源利用和環境問題，在國家相關政策的強力推動下，我國已成為全球最大的新能源汽車市場[1?2]。截至2022年底，我國新能源汽車市場保持穩步增長，銷量達到688.7萬輛，同比增長99.1%，占全國汽車總產量的26.1%。隨著多種技術應用于新能源汽車領域，傳統的安全性分析方法難以適用于復雜多因素耦合的新能源汽車故障。為了保證新能源汽車各系統部件可靠的運行，探索一種更為高效的安全性分析方法成為目前亟需解決的重要技術難題[3?4]。

當前新能源汽車故障呈現出復雜多樣的特點，涉及機械結構、三電系統、輔助系統等多種系統，傳統安全性分析方法難以對新能源汽車事故進行分析[5]。STPA（Systems?Theoretic Process Analysis）是基于STAMP模型建立的一種系統性安全分析方法，與其他安全分析方法相比，該方法不僅能對各部件間復雜的非線性交互進行準確描述，還能全面地識別導致事故不安全行為的致因。朱明昌等采用STPA對LNG船對船過駁系統進行系統的安全性分析[6]。結果表明，STPA分析方法可充分考慮未發生故障組件之間的不安全交互。王軍武等運用STPA對裝配式建筑吊裝施工安全進行風險分析，并構建模糊BN模型[7]。

國外學者M. Tsuji將STPA分析方法定義的模型轉換為統計模型檢查工具的正式模型，并用列車閘門的控制系統體現STPA分析法的有效性[8]。S. Yamaguchi將STPA分析方法與傳統安全分析方法進行對比，發現運用STPA分析法可以識別更多的因果情景，并突出人、硬件和軟件之間的交互關系[9]。

同時，模糊貝葉斯網絡（Fuzzy Bayesian Network， FBN）在系統致因量化分析中得到廣泛應用[10]。黃國忠等利用模糊貝葉斯網絡模型對人、物、環境三要素展開分析，但并未考慮到多組件之間的交互，對場景分析也有一定的局限性[11]。Zuo F針對傳統貝葉斯網絡可靠性評價不足的特點，提出一種考慮動態性和模糊性的貝葉斯網絡可靠性評價方法[12]。Qiu D針對多因素的隧道安全風險不明的情況，提出一種基于模糊貝葉斯網絡的隧道安全風險綜合評估方法[13]。結果表明，該方法可較為準確地評估隧道系統的整體風險水平。雖然STPA分析方法可對部件或子系統之間的非線性交互進行準確描述，并進行致因分析，但并未考慮定量分析與概率計算問題。而模糊BN具有強大的不確定性問題處理能力，在解決復雜系統多因素耦合問題時具有顯著優勢[14]。

針對上述研究現狀，提出一種基于STPA結合模糊BN的新能源汽車安全分析性方法。首先，利用STPA識別不安全控制行為和控制缺陷，并分析導致發生問題的致因因素；然后，構建新能源汽車突然失控事故的模糊BN，分析關鍵故障致因，并進行故障概率計算和預測，實現對新能源汽車突然失控的全面安全性分析。

1" STPA與模糊BN原理

1.1" STPA原理

STPA是在STMAP事故致因模型基礎上提出的一種具體危險分析方法，它基于系統理論和控制理論，旨在識別和分析復雜系統中潛在的安全問題[15]。相比于傳統安全性分析方法，STPA更加強調系統理論，重視組件交互事件和組件故障的發生，以此來實現安全性和可靠性的分離，并通過一系列步驟找出系統出現問題的根本原因，并對復雜系統進行安全性分析與評估。圖1為STPA分析流程。

盡管STPA最初源于學術理論研究，但目前已成功應用于多種領域，如航空航天、交通運輸以及國防核電等。

1.2" 模糊BN原理

貝葉斯網絡是一種用于描述節點變量之間的概率關系的概率推理模型[16]，其核心在于利用貝葉斯公式定義節點之間的條件概率關系，如下：

[PAB=P（A）PBAP（B）]

式中：[P（A）]和[P（B）]表示先驗概率；[PAB]表示后驗概率；[PBA]表示條件概率。

也可用TS（TS=0，1，2，…，n）對節點的多種狀態進行表示，全概率公式如下：

[P（B）=PBA=TSPA=TS]

模糊BN在傳統貝葉斯網絡推理算法的基礎上引入模糊數學理論，該方法對解決復雜系統中由多因素耦合引起的安全性分析具有明顯優勢。

2" 新能源汽車突然失控事故安全性分析

基于上述研究現狀，本文提出一種基于STPA與模糊BN的新能源汽車安全性分析方法，具體安全分析流程如圖2所示。安全分析主要步驟為：利用STPA識別系統級危險及事故，建立控制與反饋回路，識別不安全控制行為；構建模糊BN，利用理論推算形成多態節點故障之間的條件概率表，并計算系統故障概率和后驗概率；最終進行致因分析。

2.1" 確定系統級事故及危險

新能源汽車突然失控時的系統級事故，主要涉及三種類型，如下：

1） 車輛損壞（A?1）：指在突然失控過程中，由于駕駛人員操作失誤、車輛失控等最終導致車體或其他子系統受損；

2） 人員傷亡（A?2）：指在汽車處于不可控情況下，導致駕駛員、乘客乃至附近道路的行人傷亡；

3） 道路環境損壞（A?3）：指在汽車突然失控過程中，造成對附近道路環境的破壞行為。

系統級危險為導致系統事故的狀態和條件，在特定的環境及條件下可導致多種不同類型事故的發生，具體如表1所示。

結合STPA分析方法，對系統級危險進行識別并且展開相應的分析，包括動力短時間內丟失（H?1）、無法啟動（H?2）、無法制動（H?3）和車速受限（H?4）四種類型。系統級危險是導致系統級事故發生的子集，系統級危險的存在可能會引發多個系統級事故的發生，具體如表2所示。

2.2" 建立控制與反饋結構

控制結構由控制器、執行器、控制過程和傳感器組成。執行器根據控制器要求控制受控對象，傳感器監測執行狀態并向控制器提供反饋信息。根據新能源汽車動力短時間內丟失、無法啟動、無法制動、車速受限4類系統級危險來劃分影響新能源汽車正常行駛安全的風險因素。將新能源汽車進行STPA模型轉化，從多方面建立新能源汽車突然失控事故控制與反饋回路，如圖3所示。

2.3" 識別不安全控制行為

在定義安全控制結構后，對新能源汽車的控制與反饋回路展開分析和辨識，識別不安全控制行為，尋找可能導致系統危險狀態的因素。根據控制行為可能引起的危險，定義以下4類不安全控制行為，并對控制執行對象潛在的不安全控制行為進行深入研究，見表3。

2.4" 模糊BN系統概率

由于整車系統的高復雜性，以及硬件、軟件、各部件之間存在較大的不確定性，基本事件不能簡單地定義為二態節點（“正常”或“故障”）。例如，對于通信設備故障而言，除了“正常”和“完全故障”兩種狀態之外，還存在部分故障的狀態。為了更準確地描述部件之間的邏輯關系，將基本事件定義為三態節點，進行定量計算，并重構條件概率表，更準確地描述部件之間的邏輯關系，體現部件的多態性和邏輯關系的不確定性。

在模糊BN中，設根節點變量為xi，存在3種狀態，分別用0、1、2表示；中間節點變量為yj，也存在3種狀態，用0、1、2表示；系統節點為T，狀態用TS=0，1，2表示。已知各個根節點突然失控狀態的發生概率為P，系統節點變量T=TS時的發生概率計算公式如下：

[PT=TS=x1，x2，…，xm，y1y2，…，ynPx1，x2，…，xm，y1，y2，…，yn，T=TS" " " " " " " " " " =π（T）PT=TSπ（T）πy1Py1πy1×…×" " " " " " " " " " " " πyiPyjπyj×…×" " " " " " " " " " " "πymPynπynPx1…Pxi…Pxm]

子節點概率計算方法如下：

[PAx1，x2，…，xm=i=1mPAxi]

式中：[PAx1，x2，…，xm]為各基本事件發生的情況下對應中間節點的發生概率。

根節點xi在狀態為0、1、2的條件下，頂事件T的故障狀態為TS時的概率為：

[PT=TSTS=0，1，2=PT=TS，TS=0，1，2PTS=0，1，2=x1，x2，…，xm，y1，y2，…，ynPx1，x2，…xm，y1，y2，…，yn，T=TS，TS=0，1，2PTS=0，1，2]

利用貝葉斯網絡計算在頂事件處于完全故障狀態下，底事件發生的后驗概率為：

[Px1=1TS=1=x1，x2，…，xmPx1=1TS=1PTS=1]

2.5" 構建模糊BN拓撲模型

依據新能源汽車突然失控事故召回信息，對4種系統級危險分析可知，H?2、H?3、H?4發生概率相對較小。因此，本文重點針對短時間內動力丟失（H?1）這一典型由突然失控導致的系統級危險事件展開分析。頂事件T表示動力短時間內丟失，中間事件B表示整車控制器故障，C表示電機電控故障，D表示蓄電池及儲能系統故障，基本事件X1～X11分別表示通信設備故障、TM溫度傳感器故障、電機轉速異常、TM溫度異常、MCU溫度異常、交流過流、電機電控總電壓低、SOC低、單體壓差大、單體電壓異常、蓄電池及其管理系統總電壓低，構建新能源汽車突然失控的短時間動力丟失故障樹，如圖4所示。根據系統分層安全控制結構以及定性分析結果，將故障樹轉化為模糊多態貝葉斯網絡模型的拓撲結構，如圖5所示。

3" 算例分析

3.1" 計算模型參數

根據已建立的新能源汽車動力短時間內丟失故障樹轉化的貝葉斯網絡模型和項目信息，選取整車控制器、電機電控以及蓄電池及儲能系統作為研究對象。結合領域內專家對所提模型根節點的先驗概率及各中間節點之間的條件概率，以及某車企提供的部件故障概率，得出各節點基本事件、父節點的先驗概率值，見表4。

根據貝葉斯網絡構建的原則，選擇邏輯門轉化、噪聲門或專家意見采集等方法確定各節點的條件概率。以節點D（蓄電池及儲能系統故障）為例，列出各父節點狀態組合及對應子節點故障的條件概率，完成貝葉斯網絡模型的建立。節點D模糊CPT值如表5所示。

3.2" 試驗仿真分析

使用GeNIe軟件，結合案例數據進行訓練并修正先驗概率，將11個根節點的先驗概率添加到初始貝葉斯網絡中，更新內部節點，確定不同狀態下頂事件發生的概率。模糊BN先驗概率結果如圖6所示。

通過貝葉斯推理可知，新能源汽車嚴重突然失控的可能性為45%，輕微突然失控的可能性為90%，突然失控事故不發生的可能性為97%。基本符合新能源汽車突然失控事故發生時的各狀態概率情況。

將“動力短時間內丟失”頂事件設定為“YES”，通過反向推理，計算各基本事件的后驗概率，結果如圖7所示。

由圖7可知：“總電壓低”和“SOC低”在導致車輛動力短時間內丟失中致因占比分別為27%和26%；“通信故障”和“單體電壓大”在導致動力短時間內丟失致因占比均為16%。因此，“總電壓低”“SOC低”“通信故障”“單體電壓大”是新能源汽車突然失控事故的關鍵致因。由于不同故障在系統中的發生程度和重要性不同，由此可找到系統中的薄弱環節，也為改善系統的可靠性提供基礎和依據。

4" 結" 論

從系統工程角度出發，對新能源汽車突然失控研究可知，在車輛行駛過程中，涉及大量人、軟件、道路環境和硬件設備之間的交互和控制過程，存在許多潛在的安全性問題。本研究將新能源汽車突然失控事故作為系統性安全問題，提出一種基于STPA與模糊BN的新能源汽車安全分析方法，有以下創新點：

1） 采用STPA方法進行安全性分析。分析新能源汽車突然失控事故，形成系統級危險及事故，搭建控制與反饋回路，并識別潛在的不安全控制行為。

2） 使用模糊BN進行定量分析計算。依據STPA定性分析結果，采用BN進行多態分析與概率計算，并結合反向診斷推理，求得各基本事件在頂事件發生下的后驗概率，最后展開相應的致因分析。

由于新能源汽車突然失控事故數據有限，難以獲取且不易整理，后續仍需考慮在進行新能源汽車突然失控事故安全分析時，結合有限的數據來達到定量分析所需的精確性，提高定性與定量分析的可靠性與準確性。

注：本文通訊作者為周娟。

參考文獻

[1] QIAO Q， ZHAO F， LIU Z， et al. Cradle?to?gate greenhouse gas emissions of battery electric and internal combustion engine vehicles in China [J]. Applied energy， 2017， 204 ： 1399?1411.

[2] 高鑒，童昕，賀燦飛.領先市場對中國汽車產業新能源技術轉型的影響[J].北京大學學報（自然科學版），2023，59（4）：671?680.

[3] 付佩，蘭利波，陳穎，等.面向2035的節能與新能源汽車全生命周期碳排放預測評價[J].環境科學，2023，44（4）：2365?2374.

[4] ZHANG X， BAI X， ZHONG H. Electric vehicle adoption in license plate?controlled big cities： Evidence from Beijing [J]. Journal of cleaner production， 2018， 202： 191?196.

[5] 孫振宇，王震坡，劉鵬，等.新能源汽車動力電池系統故障診斷研究綜述[J].機械工程學報，2021，57（14）：87?104.

[6] 朱明昌，黃立文，謝澄，等.基于STAMP/STPA的LNG船對船過駁系統安全性分析[J].交通信息與安全，2021，39（6）：44?53.

[7] 王軍武，潘子瑤，王靖，等.基于STPA和模糊BN的裝配式建筑吊裝施工安全風險分析[J].中國安全生產科學技術，2022，18（4）：12?19.

[8] TSUJI M， TAKAI T， KAKIMOTO K， et al. Prioritizing scenarios based on STAMP/STPA using statistical model checking [C]// 2020 IEEE International Conference on Software Testing， Verification and Validation Workshops. [S.l.]： IEEE， 2020： 124?132.

[9] YAMAGUCHI S， THOMAS J. A system safety approach for tomographic treatment [J]. Safety science， 2019， 118： 772?782.

[10] 尹曉偉，錢文學，謝里陽.基于貝葉斯網絡的多狀態系統可靠性建模與評估[J].機械工程學報，2009，45（2）：206?212.

[11] 黃國忠，姜莉文，謝志利，等.基于模糊貝葉斯網絡的電動平衡車失速事故發生可能性研究[J].安全與環境學報，2018，18（6）：2081?2085.

[12] ZUO F， JIA M， WEN G， et al. Reliability modeling and evaluation of complex multi?state system based on bayesian networks considering fuzzy dynamic of faults [J]. CMES?computer modeling in engineering amp; sciences， 2021（11）： 20.

[13] QIU D， QU C， XUE Y， et al. A comprehensive assessment method for safety risk of gas tunnel construction based on fuzzy Bayesian network [J]. Polish journal of environmental studies， 2020， 29（6）： 115979.

[14] MAHAJAN H S， BRADLEY T， PASRICHA S. Application of systems theoretic process analysis to a lane keeping assist system [J]. Reliability engineering amp; system safety， 2017， 167： 177?183.

[15] LEVESON N. A new accident model for engineering safer systems [J]. Safety science， 2004（4）： 42.

[16] 陳洪轉，趙愛佳，李騰蛟，等.基于故障樹的復雜裝備模糊貝葉斯網絡推理故障診斷[J].系統工程與電子技術，2021，43（5）：1248?1261.

作者簡介：張" 順（1998—），男，安徽人，碩士研究生，主要研究方向為系統安全分析。

周" 娟（1979—），女，湖北人，博士，副教授，主要研究方向為質量工程。